Google descobre vulnerabilidade no SSL 3.0

 

Depois do Heartbleed, foi agora descoberta mais uma vulnerabilidade nas ligações seguras, nomeadamente no SSL 3.0.

A descoberta foi realizada pela Google, que apelidou a mesma de “POODLE”. Esta vulnerabilidade permite que o texto de uma ligação segura em SSL 3.0 seja intercetado por terceiros, nomeadamente o que é pertencente a cookies.

O SSL 3.0 é um protocolo relativamente antigo, com pouco mais de 15 anos, mas ainda é utilizado em vários navegadores mais antigos e em servidores para efeitos de compatibilidade.

O meio mais simples para evitar a exploração da vulnerabilidade encontra-se em deixar de suportar ligações SSL 3.0. Estas ligações foram substituídas à vários anos pelas ligações TLS e sucessores.

De acordo com a Google, não existe uma correção para esta vulnerabilidade, pelo menos até ao momento. A única solução passa por deixar de utilizar o SSL 3.0 por completo. Esta medida poderá afetar os utilizadores que utilizam versões antigas dos navegadores, como é o caso do Internet Explorer 6. Os navegadores mais recentes e mais utilizados já não utilizam o SSL 3.0 como padrão.